摘要:rras和windows 虚拟专用网技术不但可以方便的实现远程企业用户同企业内部网络用户之间的安全可靠连接,而且能够以最低的成本确保企业高效的数据传输,因此,通过rras和虚拟专用网连接技术在windows中来实现网络的安全访问能够解决windows网络面临的一系列安全问题。
关键词:rras windows 虚拟专用网技术 安全
虚拟专用网是公共数据网的一种类型,但可以方便的让企业外地用户直接连接到企业的内部网络。虚拟专用网可以跨专用网络或公用网络(如internet)创建安全的点对点连接,极大地降低了企业用户的费用,而且提供了很强的安全性和可用性。虚拟专用网中采用了一些网络安全机制,如隧道技术、认证技术、加密技术、解密技术以及密钥管理技术等,这些网络安全技术能够确保各种数据在公用网络中传输时不被非法用户获取,即便被窃取也无法读取数据包中的有效信息。
1 构建rras服务
rras也叫路由和远程访问服务,通过将“路由和远程访问”配置为充当远程访问服务器,可以将企业的远程工作人员或流动工作人员连接到企业内部网络上,远程用户可以像其计算机物理连接到企业内部网络上一样进行资源共享和数据交换。虽然现在很多企业网络组建都采用了vpn技术,但是基本上是基于网络硬件设备的,比如锐捷硬件vpn、路由器等,而利用windows server 2003内置的rras组建vpn网络价格低廉、管理方便、性能良好,而且容易维护。
利用路由和远程访问连接的用户可以使用企业内网的所有服务,其中包括文件服务的共享、企业打印机共享、企业web服务的访问和邮件服务及数据库服务的访问。例如,在运行“路由和远程访问”的服务器上,客户端可以使用windows资源管理器来建立驱动器连接和连接到打印机。由于远程访问完全支持驱动器号和统一资源定位器unc名称,因此连接到企业内网的外部用户的大多数应用程序不必进行修改即可直接使用职称论文。
rras是windows server 2003的默认windows组件,其初始状态为停用,因此在构建rras之前必须将其激活,只有在rras管理控制台中服务器上的箭头变为绿色的向上箭头,才表明此rras服务已经被激活,激活状态如下图所示:
2 配置远程访问服务器
2.1 远程访问服务器属性的配置
2.1.1 常规属性设置 在windows server 2003的路由和远程访问服务中,可以使该服务器作为一个路由器或者是一个远程访问服务器。当作为路由器时,它可以作为企业网和因特网之间的一座桥梁,因此可以通过选中“远程访问服务器”复选框来改变该服务器的角色,使其成为一台vpn服务器。
2.1.2 安全设置 vpn始终是通过公用网络如internet在vpn客户端与服务器之间建立的逻辑连接。为了确保隐私安全,必须对通过该连接发送的数据进行加密。rras中的安全信息包括身份验证方法和记账提供程序。身份验证方法包括默认的windows身份验证和radius身份验证,服务器通过一系列的验证方法对远程系统进行身份验证。
2.1.3 远程用户ip设置 远程vpn客户必须通过ip地址连接到服务器从而访问企业网络,通过ip设置可以给远程客户机指派ip地址。一般通过两种方法来指派:第一种是利用企业网络内部的dhcp服务器动态的分配ip地址,另一种方法是指定某个范围的静态地址池,其中“启用ip路由”可以使远程企业用户访问到此远程访问服务器所连接的整个企业内部网络。
2.2 远程访问服务器端口的配置 在企业网络远程访问过程中,网络设备是建立点到点连接所使用端口的硬件或软件,而端口是用来支持单个点对点连接的设备的信道,在路由和远程访问管理控制台中可以监视和管理各种端口,而且可以更改各端口的配置,例如:对wan微型端口(pptp)和(l2tp)的数量的更改。在wan微型端口(pptp)中,“远程访问连接(仅入站)”是为企业用户启用远程访问,“请求拨号路由选择连接(入站和出站)”是为企业用户启用请求拨号路由。
2.3 用户拨入的配置 企业远程访问服务器同时也具备域控制器的功能,它是通过“active directory 用户和计算机”来管理企业远程客户的,而它所管理的用户对象属性中存在“拨入”选项卡,“拨入”属性可以允许或禁止远程企业用户连接到企业内部服务器上。其中“回拨选项”可以为远程用户拨入实现多种不同的功能,当用户拨号到企业rras服务器后,只要账户正确就允许与企业网络建立连接,则选择“不回拨”;当远程企业用户拨入到rras服务器后,输入正确的账户,服务器会要求用户输入回拨的电话号码,然后挂断电话,并由服务器对用户进行拨号,为远程用户节省电话费用,则选择“由呼叫方设置(仅路由和远程访问服务)”。
由于企业的规模各不相同,因此企业内部节点数量和网络带宽等也不同,当远程客户端通过vpn连接自动获取到一个和企业内网同一网段的ip地址后,就可以像在公司内部一样安全、方便、快速、高效地与intranet交换机密的商务信息,从而实现企业网络用户跨因特网的安全访问。
参考文献:
[1]ivan pepelnjak jim guichard. mpls和vpn体系结构[m].北京:人民邮电出版社,2004.
[2](美)罗等,刘伟琴,米强译.第二层vpn体系结构[m].北京:人民邮电出版社,2006.
[3]徐祗祥.windows网络服务[m].北京:科学技术文献出版社,2008.
[4]玛尼尔(ruest,d.),尼尔森(ruest,n.).windows server 2003企业部署原理与实践[m].北京:清华大学出版社,2006.远程访问服务器可以根据企业自身的状况选择以下三种不同的方式来部署:
2.3.1 单接口vpn服务器。此时用企业的核心路由器或硬件防火墙负责转发ip数据包到因特网并对外网提供各种服务,企业客户端在呼叫服务器时的地址就是核心路由器或硬件防火墙的公网地址。
2.3.2 双接口vpn服务器。适用于企业网络中具有多个公网地址。这种方式可以减少核心路由器或者硬件防火墙的网络负载,因为双接口vpn服务器网络中,客户端直接通过vpn服务器访问企业内部网络。
2.3.3 代理服务器做vpn服务器。如果企业原先通过代理服务器构建企业网络,可以在代理服务器上启用vpn服务器,或者是直接采用isa server作为代理服务器,在isa server上启用vpn服务器并且代替原来的防火墙与路由器。
3 构建远程客户机的网络连接
虚拟专用网络vpn客户端能使用“点对点隧道协议”(pptp)、“第二层隧道协议”(l2tp) 和“ip安全协议(ipsec)”来创建一个通往vpn服务器的安全隧道。通过这种方法,客户端就变成了专用网络上的一个远程节点。pptp是一种常用的vpn协议,它使用支持56位密钥的mppe增强加密方式,因此非常安全,而且易于进行配置和维护。在纯microsoft环境和混合环境中,基于pptp的vpn客户端部署方便,而且可以通过使用远程访问策略的规则进行pptp连接的允许或拒绝,使远程客户机能够在规定的时间访问公司局域网,并且可以实现各种安全的身份验证方式和加密方式。在客户端建立一个基于vpn 的wan微型端口(pptp)连接后,就可以通过此连接自动获取一个vpn服务器上分配的ip地址,从而实现客户端与企业内部网络构成同一个局域网。
本文链接:http://www.qk112.com/lwfw/jsjlw/zhinengkeji/232860.html
